3
Windows nur mit Smartcard o. Stick starten (Lenovo)
Guten Morgen
Auf einem Lenovogerät welches dTPM 2.0 kann und einen Smartcard Leser eingebaut hat möchte ich mich etwas mit der Verschlüsselung von Geräten auseinander setzen. Ich weiss nicht genau in welchen Bereich ich dieses Thema am besten reinschreibe.
Zuerst dachte ich ich verwende Bitlocker um die Systemfestplatte zu verschlüsseln. Da der Bitlocker Key in einem Firmennetzwerk mit einer Azure AD aber wohl dort abgelegt wird für eine spätere Entschlüsselung bei Verlust, möchte ich es eher anders versuchen auch wenn im Privatgebrauch keine Azure AD in Frage kommt.
Also habe ich mal Veracrypt verwendet. Dieses Unterstützt ja bereits bein "pre-boot" mit der PIN eingabe. Das klappt sehr gut. Aber es wird keine Smartcard unterstützt.
Gibt es eine Programm mit dem ich die Systemfestplatte verschlüsseln kann, und vor dem eigentlichen Start noch eine Sicherheitsabfrage kommt? Am liebsten hätte ich natürlich das der PC nur mit einer Smartcard oder einem USB Stick (ggf auch yubico, Solokey, Nitrokey). In einem weiteren Schritt würde ich dann ggf auch den Windows Login mittels dem selben oder einem weiteren Medium testen wollen. Da hänge ich aber noch da dies in einer AD die Windows Helo Funktionen deaktiviert sind und ich bisher nur Möglichkeiten gefunden habe diese mit einer Azure AD zu aktivieren was ich zuhause sicherlich nicht betreiben möchte
Es ist sicher oversize, aber ich würde gerne in das Thema kommen und dies geht immer am einfachsten mit praktischen versuchen.
Braucht es bei einer Smartcard eigentlich noch ein Schreibgerät oder reicht da ein reines Lesegerät welches verbaut ist?
Gruss und Danke für jede Hilfestellung
Koda
Auf einem Lenovogerät welches dTPM 2.0 kann und einen Smartcard Leser eingebaut hat möchte ich mich etwas mit der Verschlüsselung von Geräten auseinander setzen. Ich weiss nicht genau in welchen Bereich ich dieses Thema am besten reinschreibe.
Zuerst dachte ich ich verwende Bitlocker um die Systemfestplatte zu verschlüsseln. Da der Bitlocker Key in einem Firmennetzwerk mit einer Azure AD aber wohl dort abgelegt wird für eine spätere Entschlüsselung bei Verlust, möchte ich es eher anders versuchen auch wenn im Privatgebrauch keine Azure AD in Frage kommt.
Also habe ich mal Veracrypt verwendet. Dieses Unterstützt ja bereits bein "pre-boot" mit der PIN eingabe. Das klappt sehr gut. Aber es wird keine Smartcard unterstützt.
Gibt es eine Programm mit dem ich die Systemfestplatte verschlüsseln kann, und vor dem eigentlichen Start noch eine Sicherheitsabfrage kommt? Am liebsten hätte ich natürlich das der PC nur mit einer Smartcard oder einem USB Stick (ggf auch yubico, Solokey, Nitrokey). In einem weiteren Schritt würde ich dann ggf auch den Windows Login mittels dem selben oder einem weiteren Medium testen wollen. Da hänge ich aber noch da dies in einer AD die Windows Helo Funktionen deaktiviert sind und ich bisher nur Möglichkeiten gefunden habe diese mit einer Azure AD zu aktivieren was ich zuhause sicherlich nicht betreiben möchte
Es ist sicher oversize, aber ich würde gerne in das Thema kommen und dies geht immer am einfachsten mit praktischen versuchen.
Braucht es bei einer Smartcard eigentlich noch ein Schreibgerät oder reicht da ein reines Lesegerät welches verbaut ist?
Gruss und Danke für jede Hilfestellung
Koda
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 523636
Url: https://administrator.de/contentid/523636
Printed on: April 20, 2024 at 12:04 o'clock
3 Comments
Latest comment
Du kannst Bitlocker so einstellen, dass er USB+PIN beim Starten anfordert.
Dass bei Azure-AD eine Furcht besteht, dass der Key in der Cloud landet, ist mir nicht verständlich, denn MS kann bei Internetverbindung alles mit deinem Gerät machen, auch alles was Du tippst in die Cloud leiten, somit auch Veracrypt-Kennwörter UND ebenso sämtliche Dateioen, die du eigentlich schützen wolltest. Mit anderen Worten: wenn Du MS nicht traust, darfst Du dein Windows gar nicht mit dem Internet verbinden.
Dass bei Azure-AD eine Furcht besteht, dass der Key in der Cloud landet, ist mir nicht verständlich, denn MS kann bei Internetverbindung alles mit deinem Gerät machen, auch alles was Du tippst in die Cloud leiten, somit auch Veracrypt-Kennwörter UND ebenso sämtliche Dateioen, die du eigentlich schützen wolltest. Mit anderen Worten: wenn Du MS nicht traust, darfst Du dein Windows gar nicht mit dem Internet verbinden.
Vielen Dank für deine Antwort. Kennst du auch eine Möglichkeit mit anderen Programmen ausser Bitlocker?
Es geht mir nicht mal um Microsoft. Es geht mir mehr um spätere Überlegungen z.B: ein Einsatz in einem Firmennetzwerk was es dort an Möglichkeiten gibt ohne das der Key auf einem Azure AD landen würde.
Es geht mir nicht mal um Microsoft. Es geht mir mehr um spätere Überlegungen z.B: ein Einsatz in einem Firmennetzwerk was es dort an Möglichkeiten gibt ohne das der Key auf einem Azure AD landen würde.
Wir sind Kunde von Rohde und Schwarz' Produkt "Trusted Disk", da hast Du eine Smartcard (USB-Stick) mit PIN als Authentifizierung für die Verschlüsselung. Anderweitig keine Erfahrung mit Smartcards, aber ich kann Dir einen Link bieten, aus dem hervorgeht, welche anderen Programme 2-Faktor-Authentifizierung (nicht notwendigerweise mit Smartcards) können: https://en.wikipedia.org/wiki/Comparison_of_disk_encryption_software#Fea ...
